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La presente invention concerne les systemes de transaction automatique 

delivrant un bien ou un service par Tintermediaire d'un automate echan- 

geant des informations avec un objet portatif debite d'une valeur ou mon- 
tant donne en contrepartie du bien ou du service delivre. 
5 L'automate peut etre un distributeur automatique, par exemple de confise- 
ries ou de boissons, ou un dispositif etablissant un service, par exemple 
un controle d'acces materialise par I'ouverture d'un portillon pour le pas- 
sage d'un voyageur dans un systerne de transport. Par la suite, on parlera 

de "delivrance d'un^bien" pour simplifies mais que I'invention vise bien 

10 entendu des applications beaucoup plus larges incluant la delivrance de 
toutes sortes de services. 

De la merne fagon, on prendra I'exemple, comme objet portatif, d'une car- 
te a microcircuit. Mais I'invention peut egalement etre appliquee a d'au- 
tres types d'objets portatifs, tels que carte magnetique ou titre de trans- 
15 port, par exemple sous la forme d'un coupon magnetique ou analogue. 
Utilisation d'une carte a microcircuit est cependant la mise en ceuvre 
preferentielle compte tenu du tres haut degre de securite et de fiabilite 
permis par cette technique. 

La delivrance du bien ou du service resulte de la realisation d'une trans- 

20 action au cours de laquelle la carte est couplee temporairement a Tauto- 
mate pour permettre un echange d'informations entre ces deux elements, 
le paiement etant, au moins pour partie, realise par la modification d'une 
information stockee dans la memoire de la carte, representative de la va- 
leur de cette derniere. 

25 Le couplage entre carte et automate peut etre realise par divers modes de 
liaison connus, avec ou sans contact galvanique, mais on verra que I'in- 
vention s'applique tres avantageusement au couplage du type "sans con- 
tact". Dans ce mode de couplage, il existe en effet un risque non negli- 
geable de rupture inattendue de la communication entre carte et auto- 

30 mate, par exemple du fait de la sortie de la carte du rayon d'action de 
I'automate avant la fin du traitement. ou du fait d'une perturbation pagsa- 
gere, par exemple le passage d'une masse metallique a proximite, ou en- 
core lorsque Tutilisateur passe trop rapidement sa carte devant le terminal 
pour permettre un echange satisfaisant des informations. 

35 L'evenement interrompant la transaction peut etre aussi bien accidentel 



que provoque, par exemple intentionnellement par I'utilisateur afin d'obte- 
nir la delivrance du bien tout en empechant le debit de sa carte du mon- 
tant correspondent. 

L'un des buts de I'invention est, dans le cadre d'un systeme de transac- 
tion automatique tel qu'expose ci-dessus, de lier le paiement (c'est-a-dire 
le debit de la carte) avec la delivrance du bien de maniere a preserver 
aussi bien les interets de I'acheteur (utilisateur) que ceux du vendeur (le 
gestionnaire de I'automate), meme si un evenement interrompt la transac- 

tion ou e mpeche la realisat i on du paiement, 

Jusqu'a present, le probleme est habituellement traite de Tune des manie- 
res suivantes : 

- on I'ignore sur le plan technique, quitte a le traiter par une procedure 
humaine ; 

- on met temporairement la carte a I'abri d'un retrait par I'utilisateur, et 
I'automate opere le debit si, et seulement si, le bien est delivre (cas 
par exemple des automates dans lesquels la carte est occultee par un 
volet ou "avalee" pendant la transaction) ; 

- la carte reste accessible a I'acheteur : on evite ainsi un element meca- 
nique couteux, qui ralentit la transaction et se revele en tout etat de 
cause impraticable dans les transactions sans contact. Mais des pre- 
cautions particulieres doivent alors etre prises. 

La troisieme situation, dans laquelle la carte reste physiquement accessi- 
ble a I'utilisateur, aboutit a I'une ou I'autre des situations suivantes : 

- debit opere posterieurement a la delivrance du bien : I'acheteur peut 
essayer d'empecher le debit, par exemple en retirant sa carte imme- 
diatement apres la delivrance du bien ou en rendant d'une autre ma- 
niere le debit impossible (par exemple en isolant par un morceau d'ad- 
hesif I'une des plages de contact du microcircuit de la carte) ; cette 
maniere de proceder est acceptable si la delivrance est intrinseque- 
ment etalee dans le temps, par exemple une communication teiepno- 
nique, I'interet de la fraude etant tres limite ; en revanche, elle n'est 
pas satisfaisante lorsque I'automate distribue un article, ou debloqW 
un portillon. 

- debit prealable a la delivrance du bien : il existe alors un risque que 
I'acheteur soit lese, du fait de la realisation du paiement par echange 
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d'informations a travers un canal de communication qui peut etre inter- 

rompu par extraction ou eloignement de la carte ; en effet, il est possi- 

ble que la carte soit debitee mais, I'automate n'en ayant pas la confir- 
mation, il ne delivrera pas le bien. 
5 ^invention se place dans le cadre general correspondant a cette derniere 
situation, c'est-a-dire celle dans laquelle la carte est debitee avant deli- 
vrance du bien. 

La transaction, dans son aspect le plus general se deroule de la maniere 

s u i v a nte : 

10 10) Pautomate commande le debit de la carte ; 
Q 20) la carte modifie reformation de valeur monetaire (ou une valeur 

equivalente en "jetons") ; 
30) la carte confirme a I'automate la realisation effective du debit, c'est- 
a-dire de la modification de la valeur monetaire dans la memoire ; 
15 40) I'automate delivre le bien. 

Comme on le comprend aisement, une interruption de I'echange entre 
carte et automate intervenant au cours de I'etape 30 lese I'acheteur. 
Pour pallier cet inconvenient, on avait jusqu'a present recours a diverses 
pratiques telles que : 
20 - considerer que I'acheteur est fautif s'il retire sa carte pendant la trans- 
action, et peut done etre penalise ; en cas de reclamation, on prevoit 
des procedures d'indemnisation plus ou moins arbitraires ou la crea- 
tion d'un moyen pour savoir a posteriori si la transaction inscrite dans 
la carte a ete effectivement suivie d'effet par I'automate ; 
25 - debiter des petits montants au fur et a mesure de la delivrance du bien 
a I'acheteur, en considerant que si I'acheteur est lese, il le sera d'un 
montant faible et done acceptable : cette solution convient parfaite- 
ment a la delivrance de fluides ou a une communication telephonique, 
mais elle est impraticable pour la delivrance d'articles ou I'acces a un 
30 reseau de transport ; 

- prevoir un systeme tel que, si la transaction courante est interrompue 
avec prejudice pour I'acheteur, dans une transaction ulterieure "de re- 
prise" la delivrance du bien pourra avoir lieu sans nouveau paiement, 
e'est-a-dire sans nouveau debit de la carte. 
35 Cette troisieme solution est une pratique connue, utilisee par exemple 
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dans les porte-monnaie electroniques tels que ceux du projet de norme 
europeenne EN 1546. 

Dans ces systemes connus, si le paiemenl a eu lieu, si I'utilisateur qui n'a 

pas obtenu une delivrance du bien desire recommence la transaction sur 
5 le meme automate, et si cette nouvelle transaction (transaction de reprise) 
se poursuit a son terme, le bien est delivre moyennant un paiement equi- 
table. 

Ces systemes connus a transaction de reprise ont cependant en commun 

un inconvenient. 

10 En effet, si la communication entre I'automate et la carte est interrompue 

pendant I'etape 30 ci-dessus, et que I'acheteur ne retablit pas la liaison 

entre sa carte et le meme automate, il sera lese. 

En particulier, quand il existe a proximite plusieurs automates delivrant un 
bien ou service identique (par exemple plusieurs portillons d'acces a un 

1 5 reseau de transport) le client qui, par exemple, passe un peu trap vite sa 
carte sans contact et constate la non-ouverture du portillon, va souvent 
tenter sa chance sur le portillon voisin, done sur un autre automate que 
celui avec lequel il avait entame la transaction initiale. Le second auto- 
mate va le debiter, meme si le premier avait deja opere un debit, de sorte 

20 que I'acheteur sera debite deux fois pour un seul bien ou service delivre 
(une seule ouverture de portillon). 

II est possible de pallier cet inconvenient en reliant ensemble les auto- 
mates d'une meme zone par un reseau permettant I'echange des informa- 
tions utiles pour la reprise de la transaction, par exemple un numero 
25 d' identification de la carte, le numero du dernier automate ayant comman- 
ds un debit, le numero de transaction correspondent pour cet automate, 
etc., de sorte que la reprise de la transaction soit possible sur Tun quel- 
conque des automates du reseau. 

L'utilisation d'un tel reseau presente deux inconvenients, en particulier : 

-30 — la-necessi te d 'un re se au, av e c ses co ntraint e s mat o r io l lo s o t l ogic iel- 

les, 

- ~ l e~fait~que chaque automate~doTt~i n te rrog e r Tenreseau~syst e matiqu e - 
ment avant d'ordonner le debit d'une carte (etape 10 ci-dessus), ce qui 
ralentit la transaction, ou bien que chaque automate doit stocker lo- 
35 calement les informations relatives aux transactions non terminees 
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operees (au moins recemment) par les autres automates clu reseau et 
rechercher rapidement si la carte qu'il va debiter coincide avec Tune 
de ces informations. 
L'invention propose une solution au probleme ci-dessus, qui evite ou mi- 
nimise le recours a un reseau, avec des caracteristiques qui permettent 
de repondre aux contraintes les plus critiques, telles que celles des trans- 
actions par carte sans contact dans le domaine des transports, ou chaque 
transaction : 

d oi t etre-raptde (0, 1 s e c ond e e n v ir o n ) ; 



10 - est susceptible d'etre interrompue sans faute de Putilisateur (geste 
O tro P rapide ou imprecis) ; 

- met en jeu plusieurs lignes de peage (plusieurs portillons) entre les- 
quels I'acheteur peut se deplacer rapidement (1 a 2 secondes pour 
aller d'un portillon au voisin) ; et 
15 - doit fonctionner de maniere satisfaisante en cas de panne d'un quel- 
conque de ces elements, en particulier du reseau reliant les automa- 
tes, si un tel reseau existe. 
A cet effet, Pinvention propose un procede d'echange de donnees entre la 
memoire non volatile d'un objet portatif, notamment d'une carte a micro- 
20 circuit, et un automate auquel la carte est couplee temporairement pour 
permettre la delivrance d'un bien ou d'un service, la carte comportant une 
information de valeur susceptible d'etre debitee par I'automate en contre- 
partie de ladite delivrance du bien ou service, caracterise en ce qu'il com- 
prend des etapes dans lesquelles ('automate commande la modification 
25 d'un indicateur de ratification, conserve dans la memoire non volatile de 
la carte, entre deux etats, a savoir un etat ratifie correspondant au cas ou 
la precedente transaction operee avec la carte, indifferemment avec ledit 
terminal ou avec un autre, s'est deroulee correctement, et un etat non ra- 
tifie dans le cas ou cette precedente transaction a ete interrompue en 
30 cours d'execution, et dans lequel Tautomate, successivement : debite con- 

ditionnellement la carte, si Hndicateur est a l^tat ratifie ; commande le 

positionnement par la carte de P indicateur a Petat non ratifie si un debit a 
ete opere a Petape precedente ; commande ensuite la delivrance du bien 
ou du service ; et, si le bien est effectivement delivre a Petape precedente, 
35 commande le positionnement par la carte de Pindicateur a Petat ratifie. 



Le procede peut notamment comprendre les etapes suivantes : a) par 
Tautomate, lecture de I'etat de I'indicateur de ratification et saut a I'etape 
(e) si celul-c l est a I ' etat non lal i fie , b) pat I 'auto m ate, commande du d e b i t 
de la carte d'un montant correspondant au bien ou service a delivrer ; c) 
par la carte, enregistrement du debit par mise a jour de I'information de 
valeur, et positionnement de I'indicateur a I'etat non ratifie ; d) par la 
carte, confirmation a I'automate de I'enregistrement du debit ; e) par I'au- 
tomate, delivrance du bien ou service ; f) par I'automate, commande du 
positionnement de I'indicateur a I'etat ratifie ; et g) par la carte, modifica- 



10 tion de I'etat de I'indicateur, pour le mettre a I'etat ratifie. 

Selon un certain nombre de caracteristiques subsidiaires avantageuses : Q 

- le debit conditionnel de la carte est subordonne en outre a I'ecoule- 
ment d'un delai depuis la precedente operation de positionnement de 
I'indicateur a I'etat non ratifie et/ou a I'appartenance de I'automate 

15 executant la transaction courante a un groupe auquel appartient ega- 
lement I'automate ayant realise la transaction precedente ; 

- lorsque I'indicateur est a I'etat non ratifie, la delivrance sans debit est 
inhibee si I'automate detecte qu'une delivrance a eu lieu lors de la 
precedente utilisation de la carte ; 

20 - le debit de la carte et le positionnement de I'indicateur a I'etat non rati- 
fie sont operes de maniere indivisible ; 

- au moins une partie des informations modifiant I'etat de la carte, no- 
tamment les commandes permettant de positionner I'indicateur a I'etat 
ratifie et/ou moins une partie des informations relatives a I'etat de la 

O 

25 carte, en particulier I'etat de I'indicateur et la confirmation de la prise 
en compte du debit, sont prealablement traitees par des moyens cryp- 
tographiques conjointement mis en ceuvre par la carte et I'automate ; 

- la delivrance du bien ou du service est operee de maniere differee 
apres une temporisation donnee ; on peut avantageusement prevoir 

— 36 al or s que le bien soit delivre ovant I 'oxpiration d e l a t e mpo r i sa tion en 

cas de confirmation de la bonne execution de I'etape de positionne- 

i 7 Te7TtliaT1a~cWle^e^W = 

serant dans la transaction une pause de duree aleatoire ; 

- les informations echangees entre I'automate et la carte sont chiffrees 
35 d'une maniere empechant de reveler le moment ou est commande par 
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Fautomate, et realise par la carte, le positionnement de I'indicateur a 
I'etat ratifie ; 

- il est prevu un comptage cumulatif, dans Tautornate, des occurences 
de lecture d'un indicateur a Tetat non ratifie ; 
5 - il est prevu un comptage cumulatif, dans la carte, des occurences de 
memorisation de I'indicateur a I'etat non ratifie entre deux transactions, 
des moyens pouvant notamment etre prevus pour signaler le depas- 
sement d'un seuil donne du comptage dans la carte, notamment des 

m o y e ns pour inhib e r l a d oli vranc o cons e c u t i v e du bi e n ou du s e rvic e ; 

10 - la memoire de la carte comporte une information de nature du bien ou 
O service a delivrer, information mise a jour avant delivrance eventuelle 

de ce bien ou service. 
D'autres caracteristiques et avantages ressortiront de la description ci- 
dessous d'un exemple de mise en oeuvre de invention. 
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On va tout d'abord expliquer la maniere dont est constitue un systeme 
avec transaction de reprise selon Tart anterieur (proche notamment du 
20 projet de norme EN 1 546 de porte-monnaie electronique, mais transposa- 
ble a un grand nombre d'autres applications). 
Chaque carte possede dans sa memoire : 

a) un numero d'identification de carte, invariable et caracteristique, 

b) le numero du dernier automate ayant commande un debit dans la 
25 carte, 

c) le numero de transaction pour cet automate, et 

d) la valeur de la carte, c'est-a-dire le montant monetaire ou son equi- 
valent en jetons, qui est ia donnee sur laquelle est operee le debit. 

Chaque automate, quant a lui, possede dans sa memoire : 
"30 A) le numero de la derniere carte a laquelle il a commande un debit, 

B) un numero d'ide ntific ation d ' automate invariab le et caracter istique, 

C) un numero de transaction, incremente par Pautomate a chaque 
transaction. 

La transaction comprend essentiellement les etapes suivantes : 
35 05) I'automate lit dans la carte les informations a, b et c et determine si 
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a = A,b = Betc = C; dans I'affirmative, il passe directement a 
I'etape 40. 

10) I' automate commande le debit de l a carte du mmilan t D cunebuuii- 
dant au bien a delivrer, ainsi que I'ecriture dans la carte de a = A, 
b = B et c = C. 

20) la carte enregistre le debit, c'est-a-dire remplace d par (d-D) et a, b 

et c par les valeurs communiquees A, B, C. 
30) la carte confirme a I'automate Penregistrement du debit ; 

40) I'automate delivre le bien et remplace C par C+1 . 

La transaction comporte bien entendu des etapes liees a I'etablissement, 
au deroulement et a la conclusion de la communication entre I'automate q 
et la carte, des etapes assurant la comptabilisation des sommes percues 
par I'automate, et des etapes de generation et de verification de certificat 
cryptographiques necessaires pour s'assurer de I'authenticite des valeurs 
echangees. Ces etapes, en elles-memes connues, ne sont pas impli- 
quees, sauf indication contraire, dans la mise en ceuvre de I'invention, et 
ne seront pas decrites plus en detail. 

On prevoit egalement des etapes permettant de gerer le cas ou la valeur 
de la carte est insuffisante, et un traitement adapte pour arreter les ope- 
rations : par exemple, la valeur de la carte est lue au prealable par I'au- 
tomate, comparee au montant de la transaction, et I'etape 10 est inhibee 
en cas de credit insuffisant ; on peut egalement prevoir, en variante ou en 
complement, que la carte effectue ce meme controle et inhibe les etapes 
20 et 30. O 
Par ailleurs, les diverses operations effectuees a I'etape 20 sont avanta- 
geusement realisees de maniere indivisible, c'est-a-dire que I'on prevoit 
dans la carte des moyens tels que, si I'etape 20 est interrompue, une lec- 
ture ulterieure revelera les informations a, b, c et d soit toutes inchan- 
gees, soit toutes changees conformement aux commandes de I'automate, 

SO m a i s en aucune facon s e ul e ment c e rtain o s d'ontro cllos auront o t o modi 

fiees. 

eon » ne ui i l'^ridi o ^^us^mitTenn^asnj == 
tion entre I'automate et la carte pendant I'etape 40, si I'utilisateur effectue 
un reessai sur un automate qui n'est pas le meme automate que celui de 
la transaction initiale interrompue, le second automate va debiter la carte, 



o o 



meme si le premier automate I'avait deja fait. L'acheteur, debite deux fois 
pour un seul bien delivre, sera done lese par la transaction de reprise. 
Pour pallier cette difficulte, et orrnr un compromis acceptable entre I'assu- 
rance que l'acheteur ne sera pas lese et la possibility de fraude, I'inven- 
5 tion prevoit essentiellement dans la memoire de la carte un bit 91 qui sera 
appele "bit de ratification", susceptible de prendre les deux etats suivants 
(etant bien entendu qu'il est possible de permuter les roles joues par les 
valeurs 0 et 1 ) 

Etat 0 ("ratifie") : cas normal, la precedente trans action de rutiiisateur 

10 s'est bien deroulee, I'automate delivrera ulterieurement le bien en debitant 
(^) fa carte. 

Etat 1 ("non ratifie") : la transaction precedente ne s'est pas terminee cor- 
rectement (le bien n'a pas ete delivre), et le bien devra etre delivre ulte- 
rieurement sans debit de la carte. 
15 S'il y a lieu de debiter la carte, I'indicateur est positionne a Tetat 1 par 
Tautomate avant delivrance du bien, et si le bien est ensuite delivre, I'au- 
tomate commande le positionnement de 91 a Tetat 0. 
Plus precisement, la transaction comprend les etapes suivantes : 
05) I'automate lit dans la carte I'etat de 91 ; si celui-ci est a I'etat 1, 
20 alors I'automate passe directement a Tetape 40 ; 

1 0) I'automate commande le debit de la carte du montant D correspon- 
dent au bien delivre ; 
20) la carte enregistre le debit, c ! est-a-dire qu'elle remplace le solde d 
par (d-D) et positionne 91 a Tetat 1 ; 
25 30) la carte confirme a Tautomate Tenregistrement du debit ; 

40) I'automate, qui a re$u la confirmation de Tetape 30, ou via le test de 

Tetape 05, delivre le bien ; 
45) I'automate commande le positionnement de 91 a I'etat 0 ; 
50) la carte modifie I'etat de 91, qui passe a I'etat 0. 

30 Gomme^n^ertie-constater^e-debrtnest^ 

Dans le cas particulier ou Ton debite des unites, on a D = 1 , qui peut etre 

- — ^afis~ce cas implicite ; un autre cas particulier est celui & usage unique, 

correspondant a d = 1 , puis d = 0, d pouvant etre reduit a un unique ele- 
ment binaire. 

35 On remarquera que I'acheteur n'est jamais lese lorsqu'en I'absence de 



o 



10 



delivrance du bien il tente la meme transaction par reessai sur un autre 
automate (a fortiori sur le meme), et ce de maniere caracteristique sans 
qu ' il s o it necessair e d' e tab l ir un r6soau ontro automat e s 



On va maintenant decrire divers perfectionnements au procede que Ton 
vient d'exposer. 

Certains de ces perfectionnements visent notamment a reduire la proba- 
bility d'une situation dans laquelle les etapes 05 a 45 se deroulent nor- 
malement, mais la transaction est interrompue juste apres I'etape 45, em- 
pechant la realisation de I'etape 50. 



1 0 Dans ce cas, I'acheteur, a qui I'automate a delivre le bien (etape 40), peut 
de fait disposer a nouveau du bien par une nouvelle transaction, sans 
etre debite une seconde fois. II y est done de son interet d'empecher 
I'execution de I'etape 50, par exemple en passant volontairement la carte 
rapidement aupres de I'automate pour pouvoir interrompre la transaction 

1 5 juste apres I'execution de I'etape 45. 

Un premier perfectionnement consiste, a I'etape 05, a passer a I'etape 40 
(deuxieme branche de I'alternative apres test de I'etat de 0t) seulement si 
d'autres conditions que & egal 1 sont reunies, telles qu'en particulier le 
delai ecoule depuis le positionnement de 91 a 1 et/ou I'identite de I'auto- 

20 mate ayant auparavant positionne I'indicateur. 

Pour cela, on associe a I'indicateur, dans la carte, des informations ca- 
racteristiques de I'heure et/ou de la nature de I'automate qui a effectue le 
debit precedent (et/ou commande le positionnement de I'indicateur) lors 
d'une precedente transaction. Ces informations sont avantageusement 

25 ecrites lors de I'etape 20 (de la meme maniere qu'a I'etape 20 d'une 
transaction de Part anterieur, decrite plus haut). 

On compare ces informations memorisees dans la carte a des informa- 
tions correspondantes, caracteristiques de I'heure courante et/ou de la 
nature de I'automate qui s'apprete a delivrer le bien. 

__3Q_^4ifre_d'4^ mple, d a n s Line application au transport, cei perfect io n n ement 
a pour effet de ne permettre la reprise de la transaction avec un avantage 

j ndu - doH ' aC h e t? ' ,r^"»^i-'«p^^ 

cuter sur la meme ligne de peages et dans un delai assez faible pour ex- 
clure une ^utilisation pour un nouveau trajet. Avec cette precaution, un 
35 voyageur ne peut effectuer deux trajets pour le prix d'un, et I'eventuelle 



11 



ouverture du portillon a un second voyageur (qui presente de nouveau le 

titre de transport non ratifie du premier voyageur) ne nuit pas davantage 

au transporter qu'un franchissement en force du portillon, dans la me- 
sure ou de toute fa$on Tun des deux voyageurs n'est pas en regie en cas 
5 de controle. 

Un deuxieme perfectionnement consiste, a I'etape 05, a inhiber le pas- 
sage a I'etape 40 (deuxieme branche de ('alternative apres test de I'etat 
de 91) si ('automate a precedemment realist, pour cette meme carte, une 

trans a c t i o n qui a e t e po u rsu i v ie-j usq u'a l a bonn e e xecut i on de l a de l i - 

10 vrance. Ce perfectionnement a pour effet d'obliger en tout etat de cause 
I'acheteur a changer d'automate pour avoir I'espoir d'obtenir une double 
delivrance. 

L'automate procede a cette detection par exemple en consultant un histo- 
rique des transactions qu'il a realisees, comportant pour chaque transac- 

15 tion un identificateur de la carte et Indication si la delivrance a eu lieu ; 
cet historique peut etre partage entre plusieurs automates, si un reseau 
de communication les relie (remarque : dans une application au peage la 
defaillance de ce reseau n'entraine qu'une legere augmentation de la 
probabilite qu'un titre de transport soit utilisable sur un second portillon). 

20 ^inhibition du paiement gratuit peut se traduire soit par Tarret de la trans- 
action (cas du transport en cas de seconde utilisation dans le delai du 
premier perfectionnement ci-dessus) soit par une autre delivrance 
moyennant un nouveau paiement (cas de la delivrance d'un article). 
Un troisieme perfectionnement consiste, a Tetape 20, a effectuer le debit 

25 et la modification de Tindicateur 91 (ainsi que, le cas echeant, I'ecriture 
des informations associees au premier perfectionnement vise plus haut) 
d'une maniere telle que ces operations soient indivisibles. 
En d f autres termes, on prevoit dans la carte des moyens tels que, si 
I'etape 20 est interrompue, une lecture ulterieure revelera les informations 

30 91 et d (et le cas echeant les informations associees au premier perfec- 
tionnement) soit toutes inchangees, soit toutes changees, confo rmement 
aux commandes de l'automate. 

On evite ainsi certaines possibilites d'erreur, en faveur de I'acheteur ou 
de l'automate selon celle des operations qui se serait operee sans Tautre. 
35 A titre d'exemple de realisation (permettant de minimiser le nombre d'ecri- 
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tures en memoire), la carte comporte deux zones de memoire Zo et Zi 
contenant chacune R,, le solde d,, un numero n, pouvant prendre la valeur 
0 ou 1 et une somme deoo»U6 l e S; po r la u l su i d, el n, (s, es liiuiiiidleiiient 



le nombre de bits a 0 dans dj et ni). 
Prealablement a une lecture (en particulier a I'etape 05), la carte deter- 
mine laquelle des zone Zo ou Z 1 est valide, et a cette fin contr&le pour 
chacune des deux zones la validite de s, relativement a dj et n,. Si s, est 
invalide, la carte ignore ou efface I'ensemble de la zone ; si, a Tissue de 
cette operation, une seule des deux zones est no n ignoree ou effacee, 



10 alors cette zone est consideree comme valide ; si les deux zones sont 
non ignorees ou effacees la zone valide est donnee par la table suivante : 



n 0 




zone valide 


0 


0 




1 


0 




1 


1 


z. 


0 


1 


Z 0 
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lco vaicui o i^wuiiiwww r*-' i x 

compte pour le calcul du nouveau solde a I'etape 20) sont % et d, de la 
zone valide. 

20 L'ecriture (etapes 20 et 50) aura lieu dans I'autre zone (apres effacement 
prealable), avec une valeur de n, telle que la zone ou aura lieu Tecriture 
devienne la zone valide, c'est a dire selon la table suivante : 

si zone valide et ecriture en et 

Zi ni = 0 Zo n 0 = 1 

25 Zo n 0 = 1 Zi ni = 1 

Zl m = 1 Zo n 0 = 0 

Zo n 0 = 0 Z, n, = 0 

L^ecriture dans cette zone se fera lors de I'etape 20 avec % = 1 , avant, ou 
simultanement avec, l'ecriture de n,, d, et s. ; a I'issue de cette ecriture la 

-30^ zone-vat ide a change. 

L'etape 50 ecrit % = 0 dans la zone valide. 
L' e u ilui e ii i di v isiOleHT d BffBTTnli^^ 



des zones Zi et des donnees prises en compte par les sommes de con- 
tr6l Si. 

35 Un quatrieme perfectionnement consiste a soumettre des informations 
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modifiant I'etat de la carte, en particulier les commandes permettant de 

positionner I'indicateur de ratification a I'etat 1 , a la verification prealable, 

par un dispositif integre a la carte, de la validite d'un certificat cryptogra- 
phique d'integrite de message, produit dans I'automate par un moyen cor- 
5 respondant. 

Un cinquieme perfectionnement consiste, de fagon symetrique du prece- 
dent, a soumettre des informations relatives a I'etat de la carte, en parti- 
culier I'etat de I'indicateur de ratification et/ou la confirmation de la prise 

en compte du d6bit, & la verification preatable, par un dispositif integre a 

10 ('automate, de la validite d'un certificat cryptograph ique d'integrite de 
Q message, produit dans la carte par un moyen correspondant. 

A titre d'exemple, le certificat cryptographique des quatrieme et cinquieme 
perfectionnements ci-dessus peut etre une signature electronique de 
message obtenue et verifiee selon la methode de la norme ISO 9796-2, 
15 ou plus simplement selon un algorithme symetrique de type DES. 

Un certain nombre d'autres perfectionnements visent a augmenter la diffi- 
culte, pour un utilisateur, d'interrompre sciemment la transaction. 
Un sixidme perfectionnement consiste ainsi a modifier I'etape 40 en rem- 
plagant la delivrance pure et simple du bien par une decision d'operer ou 
20 non cette delivrance apres une temporisation. Pour ameliorer la rapidite 
de ce systeme, on peut delivrer le bien avant expiration de la temporisa- 
tion si Tautomate a la confirmation de la bonne execution de Tetape 50, au 
lieu d'attendre Texpiration de la temporisation. Ces precautions rendent 
o infructueuses les eventuelles tentatives de I'acheteur d'empecher Tetape 

25 50 en interrompant la communication immediatement apres la delivrance. 
Le sequencement est ainsi modifie (etant observe que les etapes 40 et 45 
peuvent etre inversees) : 
40) I'automate lance une temporisation, 

45) etape inchangee, 

30 50) etape inchangee, 

55) la carte acquitte I'execution de Tetape 50 par emission d'un mes- 

sage specifique (etape facultative, mais permettant d'ecourter la 
duree moyenne de la transaction), 
60) ['automate delivre le bien a I'expiration du temporisateur ou, le cas 
35 echeant, a la reception du message de Tetape 55, au premier des 
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deux termes echus. L'utilisateur est ainsi prive du repere temporal 
qui lui permettrait d'interrompre la transaction a son profit. 
Un septieme perfectionnement consiste a proteger contre I'ecoute les 
communications entre I'automate et la carte par un moyen tel qu'un chif- 
5 frement cryptographique, de sorte que cette ecoute ne puisse reveler le 
moment ou I'ecriture a 0 du bit de ratification 3L est commandee et execu- 
tee. On rend ainsi plus difficile la determination de I'instant ou il serait 
avantageux d'interrompre la communication. 

Un huiti d m e perf e ctionn e m e nt consi s te, en comptement du sixieme et/ou 

10 du septieme perfectionnement precedent, a inserer dans la transaction 
une pause variant aleatoirement, toujours dans le but de rendre plus diffi- 
cile la determination de I'instant ou il serait avantageux d'interrompre la 
communication. Cette pause a variation aleatoire est de preference insere 
dans une etape situee avant le debit de la carte. 
1 5 Un neuvieme perfectionnement consiste a detecter une situation tres vrai- 
semblablement anormale, revelee par un trop grand nombre de transac- 
tions gratuites. A cet effet, un dispositif compteur adequat compte les cas 
ou a I'etape 05 la decision est prise de faire une delivrance sans paie- 
ment. On peut egalement totaliser les montants ainsi potentiellement per- 
20 dus par les automates. Si ce compteur est integre a Tautomate, il aura des 
fins statistiques ; s'il est integre a la carte, il est avantageux de subordon- 
ner la delivrance du bien ou du service a la confirmation de la bonne mise 
£ jour du compteur dans le cas ou I'acheteur echappe au debit, de sorte 
qu'il ne puisse, au moins, echapper a la mise a jour du compteur. 
25 On peut prevoir un dispositif inhibant la delivrance du bien quand le 
compteur depasse un seuil, ou bien une alarme ou signalisation analo- 
gue. On peut egalement prevoir un retour en arriere total ou partiel du 
compteur, par exemple a chaque transaction avec debit, ou avec un dis- 
positif specifique. 

~30 Un dixieme perfectionnement consiste a enregistrer la nature du Dien a 
delivrer , par exemple lors de I'etape 20, et a lire et u tiliser cette informa- 
tion notamment quand, a Tissue de I'etape 05, la decision est prise a eT- 
fectuer une delivrance sans debit. Ceci permet de traiter la reprise de la 
transaction dans le cas d'automates capables de delivrer plusieurs types 
35 de bien, ou des montants differents, ou par exemple dans un systeme de 
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transport avec des destinations differentes en fonction d'une selection par 
I'usager. 
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REVENDICATIONS 



1 un precede d'echange de do nnees entre la memoire vo.ai.le d'un 

objet portatif, notamment d'une carte a microcircuit, et un automate auquel 
5 la carte est couplee temporairement pour permettre la delivrance d'un 
bien ou d'un service, la carte comportant une information de valeur sus- 
ceptible d'etre debitee par I'automate en contrepartie de ladite delivrance 
du bien ou service, 

p r^H6 r*r a r**ris* *n ce g..'il r-omprend des etapes dans lesquelles I'au- 
0 tomate commande la modification d'un indicateur de ratification, conserve 
dans la memoire non volatile de la carte, entre deux etats, a savoir un etat 
ratifie correspondant au cas ou la precedente transaction operee avec la 
carte, indifferemment avec ledit terminal ou avec un autre, s'est deroulee 
correctement, et un etat non ratifie dans le cas ou cette precedente trans- 
5 action a ete interrompue en cours d'execution, 
et dans lequel I'automate, successivement : 

- debite conditionnellement la carte, si I'indicateur est a I'etat ratifie, 

- commande le positionnement par la carte de I'indicateur a I'etat non 
ratifie si un debit a ete opere a I'etape precedente, 

20 - commande ensuite la delivrance du bien ou du service, et 

- si le bien est effectivement delivre a I'etape precedente, commande le 
positionnement par la carte de I'indicateur a I'Stat ratifie. 

2. Le precede de la revendication 1, comprenant les etapes suivantes : 
25 a) par I'automate, lecture de I'etat de I'indicateur de ratification et saut a 
I'etape e) si celui-ci est a I'etat non ratifie, 

b) par I'automate, commande du debit de la carte d'un montant corres- 
pondant au bien ou service a delivrer, 

c) par la carte, enregistrement du debit par mise a jour de Tinformation 

rtrvaier^tTrositioTira^ 

d) par la carte, confirmation a I'au tomate de I'enregistrement du debit, 

e) par I'automate, deliviance du bitsn uu seivioe, == 



f) par I'automate, commande du positionnement de I'indicateur a I'etat 
ratifie, et 

35 g) par la carte, modification de I'etat de I'indicateur, pour le mettre a I'etat 




3. Le precede de Tune des revendications pr6c6dentes, dans lequel le 

debit conditionnel de la carte est subordonne en outre a Tecoulement d'un 

5 delai depuis la precedente operation de positionnement de I'indicateur a 
Tetat non ratifie. 

4. Le procede de Tune des revendications precedentes, dans lequel le 
debit conditionnel de la carte est subordonne en outre a Tappartenance 
de Tautomate executant la transaction courante a un groupe auquel ap- 
partient egalement Tautomate ayant realise la transaction precedente. 

5. Le proced6 de Tune des revendications precedentes, dans lequel, lors- 
que Tindicateur est a Tetat non ratifie, la delivrance sans debit est inhibee 
si rautomate detecte qu'une delivrance a eu lieu lors de la precedente 
utilisation de la carte. 
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6. Le procede de Tune des revendications precedentes, dans lequel le de- 
bit de la carte et le positionnement de Tindicateur a Tetat non ratifie sont 

20 operes de maniere indivisible. 

7. Le procede de Tune des revendications precedentes, dans lequel au 
moins une partie des informations modifiant Tetat de la carte, notamment 

o les commandes permettant de positionner Tindicateur a Tetat ratifie, sont 

25 prealablement traitees par des moyens cryptograph iques conjointement 
mis en oeuvre par la carte ef Tautomate. 



8. Le procede de Tune des revendications precedentes, dans lequel au 
moins une partie des informations relatives a Tetat de la carte, en particu- 

30 lieH^tet^e^ndtcateureHa^onftrmato 

sont prealablement traitees par des moyens cryptographiques conjointe- 
men T mis r e no e uv r e p ar la c a rt e~et Tau t o ma te: ~~ — 

9. Le procede de Tune des revendications precedentes, dans lequel la de- 
35 livrance du bien ou du service est operee de maniere differee apres une 
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temporisation donnee. 



1 u U p i utftte'dw Id i eve i idiujl i u i i 9, dd i i s Icque l le b i ci . o ot dolivro ov n nt 
I'expiration de la temporisation en cas de confirmation de la bonne execu- 
tion de I'etape de positionnement par la carte de I'indicateur a I'etat ratifie. 

11. Le procede de la revendication 9, dans lequel il est insere dans la 
transaction une pause de duree aleatoire. 



0 12 Le procede de Tune des revendications precedentes, dans lequel les 
informations echangees entre I'automate et la carte sont chiffrees dune 
maniere empechant de reveler le moment ou est commande par I'auto- 
mate, et realise par la carte, le positionnement de I'indicateur a I'etat rati- 
fie. 

13. Le procede de Tune des revendications precedentes, comprenant le 
comptage cumulatif, dans I'automate, des occurences de lecture d'un in- 
dicateur a I'etat non ratifie. 

20 14 Le procede de Tune des revendications precedentes, comprenant le 
comptage cumulatif, dans la carte, des occurences de memorisation de 
I'indicateur a I'etat non ratifie entre deux transactions. 

15 Le procede de la revendication 13 ou 14, dans lequel il est prevu des 
25 moyens pour signaler le depassement d'un seuil donne du comptage 

dans la carte, notamment des moyens pour inhiber la delivrance conse- 
cutive du bien ou du service. 

16 Le procede de I'une des revendications precedentes, dans lequel la 
30 memoire^a carte comporte une information de nature du bien ou ser- 
vice a delivrer, information mise a jour avant delivrance eventuelle de ce 

bi eii~ou~service . ~ 



